安全隐患
外来的系统运维人员需要在现场或远程对后台的服务器、数据库、网络设备进行维护。医院内部的系统管理员将不得不把相关的用户名、口令、设备端口等敏感信息告知这些外部厂家的运维技术人员。按照规定,现场维护人员应该把自己的所有操作都记录下来,并且有医院内部的人员在旁边进行监管。但是在实际工作中,这几乎是不可能的。
整体架构
产品功能及特点
认证管理
应用4A管理全部的认证登录过程,包括4A管理平台全部主账号的登录认证(主登录认证)和业务应用中中全部从账号的登录认证(二次登录认证)。
审计管理
审计管理主要包含两部分内容,一部分是4A系统内部审计,例如用户管理,应用管理,岗位管理等相应的管理行为的审计日志;另一部分是用户业务应用操作行为审计。
账号管理
账号管理包括通过岗位关联,实现业务应用账号的自动添加;在项目初期,账号接口还未对接完成时,通过账号认领的方式,实现业务应用账号的管理。
应用管理
提供对应用系统权限管理及内容管理,包括业务应用注册到4A平台,并与岗位功能进行关联,实现用户与应用的授权关联,并通过控制策略和审计策略,实现应用的访问控制和操作审计。
高成熟性和安全性
身份及访问管理系统代为记忆了账号和密码,还可以大幅提高操作人员的工作效率,并能证明操作人员的合规操作, 所以也受到操作人员的欢迎。系统的开发研制中,我们尽量采用成熟的先进技术,对系统的关键技术在前期的工作中进行了大量实验和攻关及原型建立,在已开发并经广泛测试的产品中,上述的关键技术问题已解决。
良好的可扩展性
身份及访问管理系统产品从4A解决方案中抽象出来,提供最便捷的4A项目集成方案。在程序结构上充分考虑到4A项目和非4A项目的使用场景,以先进的体系结构,清晰合理的模块划分实现多种用户场景的适用性。在4A项目中,身份及访问管理系统放弃账号、认证、授权的集中管理,只提供执行单元,完成访问控制和操作审计功能.
智能而强大的审计功能
身份及访问管理系统监控的都是人工操作,也就是所以非正常操作都被监控,不会有冗余的无效日志(数据库审计的冗余日志多达每天几万条)。同时,身份及访问管理系统精确记录用户操作时间。审计结果支持多种展现方式,让操作得以完整还原。审计结果可以录像回放,支持调节播放速度,并且回放过程中支持前后拖拽,方便快速定位问题操作。方便的审计查询功能,能够一次查询多条指令。
加密协议审计
身份及访问管理系统支持对SSH、SFTP等加密类协议,以及RDP、VNC、X11等图形协议进行全面审计。可以记录操作命令、操作过程中的键盘事件,同时可以对操作过程进行实时监控、录像、回放。
丰富灵活的采集策略
通过设置审计详细条件,实现细粒度审计。 设置采集器与采集策略绑定及设定策略优先级,实现多采集策略混合绑定,满足用户复杂的审计需求。
部署方案
建立用户统一身份管理、统一访问管理、集中权限管理的统一规范管理体系,实现 用户的全生命周期管理; 建立应用的统一访问入口,实现用户方便快捷的应用访问; 建立完善的审计体系,实现以用户为基点的应用访问审计; 建立多种安全级别的认证体系,实现用户访问应用的安全保障。 有效提升用户登录体验和登录效率,提升工作效率和客户满意度; 贯彻落实国家及行业相关安全政策要求; 形成统一规范,提高信息安全保障能力和水平;
多样的部署方式 单机部署:业务数据采集采用旁路镜像的部署方式,运维数据采集采用透明代理的部署方式,不改变现有网络结构,不影响数据库的正常访问。 级联部署:在单机部署的基础上支持多台审计系统级联部署。系统提供本地采集与远程采集两种采集模式,便于在复杂的网络环境中对多个数据库进行集中审计。